Secure Boot : les certificats de Windows expirent en 2026 — voici ce que vous devez faire

Une mise à jour de sécurité majeure se prépare sur tous les PC Windows. Les certificats Secure Boot utilisés depuis 2011 arrivent à expiration en juin et octobre 2026. Pour la grande majorité des utilisateurs, la transition se fera en douceur et automatiquement via Windows Update, mais certains d’entre vous devront agir manuellement avant qu’il ne soit trop tard. Voici comment vérifier si votre PC est prêt et que faire si ce n’est pas le cas.

Table des matières

Qu'est-ce que Secure Boot et pourquoi c'est important ?
Pourquoi Microsoft met à jour les certificats Secure Boot ?
Une coordination massive de tout l'écosystème PC
Le calendrier de déploiement
Que se passe-t-il si mon PC ne reçoit pas les nouveaux certificats ?
Que dois-je faire en tant qu'utilisateur particulier ?
Ce qu'il faut retenir

Qu’est-ce que Secure Boot et pourquoi c’est important ?

Secure Boot (démarrage sécurisé) est une fonctionnalité de sécurité intégrée dans tous les PC modernes depuis 2011. Son rôle est de protéger votre ordinateur dès l’instant où vous appuyez sur le bouton d’alimentation, avant même que Windows ne démarre.

Concrètement, Secure Boot vérifie que tous les programmes qui s’exécutent au démarrage de votre PC sont légitimes et n’ont pas été modifiés par un logiciel malveillant. Cette vérification se fait grâce à des certificats numériques stockés dans le micrologiciel (UEFI) de la carte mère de votre ordinateur. Ces certificats permettent de s’assurer qu’un logiciel est bien ce qu’il prétend être et qu’il provient d’une source de confiance (Microsoft, le fabricant de votre PC, etc.).

Aujourd’hui, les cyberattaques les plus sophistiquées tentent de s’installer au niveau du démarrage du PC (rootkits, bootkits). Si elles réussissent, elles deviennent pratiquement invisibles et très difficiles à éliminer. Secure Boot empêche ce type d’attaque en amont, en refusant d’exécuter tout code non signé par un certificat de confiance. Voilà pourquoi ce Secure Boot est important pour la sécurité de votre ordinateur !

Pourquoi Microsoft met à jour les certificats Secure Boot ?

Les certificats historiques utilisés par Secure Boot — notamment « Microsoft UEFI CA 2011 », « Microsoft Corporation KEK CA 2011 » et « Microsoft Windows Production PCA 2011 » — ont une durée de vie limitée. Mis en place en 2011, ils arrivent progressivement à expiration à partir de juin 2026.
Certains arrivent à échéance en juin 2026, tandis que d’autres expirent en octobre 2026.

Lorsque ces certificats expirent, ils ne peuvent plus être utilisés pour valider de nouveaux composants de démarrage. Microsoft doit donc introduire de nouveaux certificats de signature (Windows UEFI CA 2023) afin d’assurer la continuité du mécanisme de sécurité.

Concrètement, cette évolution permet à Windows de continuer à :

mettre à jour le gestionnaire de démarrage (Boot Manager) ;
maintenir la compatibilité avec Secure Boot ;
garantir l’intégrité du processus de démarrage.

Il ne s’agit donc pas seulement d’une amélioration de la sécurité, mais d’une mise à jour nécessaire pour maintenir le fonctionnement normal de Secure Boot dans les années à venir.

Une coordination massive de tout l’écosystème PC

Microsoft présente cette mise à jour comme « l’un des plus importants efforts de maintenance de sécurité coordonnés de l’écosystème Windows ». Et pour cause, il y a :

des millions de configurations d’ordinateur différentes ;
des dizaines de fabricants d’ordinateurs (Dell, HP, Lenovo, Asus, etc.) ;
des centaines de modèles de cartes mères et de micrologiciels.

Et c’est aussi une mise à jour qui touche le niveau le plus bas du système (avant même Windows).

Microsoft et les fabricants travaillent sur ce projet depuis plusieurs années :

Nous avons collaboré très tôt avec les équipes d’ingénierie de Microsoft afin de préparer une transition en douceur pour nos clients.

HP travaille étroitement avec Microsoft pour s’assurer que des mises à jour de firmware soient disponibles afin que tous les PC HP compatibles avec Windows 11 puissent adopter les nouveaux certificats Secure Boot avant l’expiration des certificats existants.

La préparation à l’expiration des certificats Secure Boot a fait l’objet d’un travail coordonné entre Lenovo et Microsoft impliquant plusieurs équipes.

La bonne nouvelle, c’est que la plupart des PC fabriqués depuis 2024, et presque tous ceux livrés en 2025, incluent déjà les nouveaux certificats. Si vous avez acheté votre ordinateur récemment, vous êtes probablement déjà prêt !

Le calendrier de déploiement

Microsoft a commencé le déploiement des nouveaux certificats et utilise une approche par phases :

Phase de test : validation sur un petit nombre d’ordinateurs variés.
Déploiement progressif : extension graduelle basée sur les données de télémétrie.
Déploiement large : une fois la stabilité confirmée.

Les anciens certificats expirent en juin et octobre 2026. Microsoft prévoit que la grande majorité des ordinateurs compatibles auront reçu la mise à jour avant ces dates.

Que se passe-t-il si mon PC ne reçoit pas les nouveaux certificats ?

La bonne nouvelle, c’est que si votre ordinateur n’a pas les nouveaux certificats avant juin 2026, il ne cessera pas de fonctionner et vos logiciels actuels continueront à tourner normalement. La mauvaise, c’est que votre PC entrera dans un « état de sécurité dégradé » avec :

Une protection limitée : votre système ne pourra plus recevoir de nouvelles protections au niveau du démarrage. Si de nouvelles vulnérabilités de démarrage sont découvertes, vous pourriez ne pas pouvoir installer certains correctifs liés au démarrage sécurisé.
Une exposition croissante : avec le temps, les menaces évoluent. Sans les nouveaux certificats, votre PC deviendra de plus en plus vulnérable aux attaques sophistiquées au niveau du démarrage.
Des problèmes de compatibilité futurs : les nouvelles versions de Windows pourraient ne pas se charger correctement, certains nouveaux périphériques matériels pourraient ne pas fonctionner et les logiciels qui dépendent de Secure Boot pourraient rencontrer des erreurs.

Que dois-je faire en tant qu’utilisateur particulier ?

Pour la majorité d’entre vous : rien du tout !

Si vous laissez Windows gérer vos mises à jour automatiquement, les nouveaux certificats Secure Boot seront installés automatiquement via les mises à jour mensuelles de Windows. Vous n’avez donc rien à faire.

Ceci dit, même si le processus est automatique, il y a quelques vérifications à faire pour s’assurer que tout est OK et que votre ordinateur sera prêt le jour J.

Vérifiez que le Secure Boot est bien activé

Assurez-vous que le Secure Boot est activé sur votre ordinateur :

Sur votre PC Windows, appuyez sur les touches Win + R .
Tapez msinfo32 et appuyez sur Entrée.
Dans la fenêtre Informations système, recherchez la ligne « État du démarrage sécurisé » et vérifiez qu’elle indique « Activé ».

Si Secure Boot n’est pas activé, vous devrez l’activer dans les paramètres UEFI de votre PC :

Activer le Secure Boot sur un PC UEFI

Vérifiez si votre PC a déjà les nouveaux certificats

Vous pouvez vérifier par vous-même si votre PC utilise déjà les nouveaux certificats grâce à deux commandes simples :

Ouvrez le Terminal Windows en tant qu’administrateur. Pour cela, faites un clic droit sur le bouton Windows dans la barre des tâches -> Terminal (administrateur).
Vérifiez si votre PC utilise les nouveaux certificats en copiant-collant la commande suivante :
PowerShell
```
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
```
```
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
```
Résultat :
- True → Parfait : votre PC utilise déjà les nouveaux certificats 2023 ! ✅
- False → Aïe : votre PC utilise encore les anciens certificats de 2011… ❌
Vous pouvez aussi vérifier si les nouveaux certificats sont intégrés directement dans le micrologiciel UEFI de votre PC avec cette commande :
PowerShell
```
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
```
```
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
```
Résultat :
- True → Les nouveaux certificats sont intégrés dans le micrologiciel UEFI de votre ordinateur ✅
- False → Les nouveaux certificats ne sont PAS intégrés dans le micrologiciel UEFI de votre ordinateur. Mais pas de panique – et c’est même normal si vous avez un PC plus ancien – les nouveaux certificats seront peut être installés par Windows Update.

Si la première commande renvoit « False », c’est que votre PC n’a pas encore les nouveaux certificats. Dans ce cas, voici ce que vous pouvez faire :

Installez toutes les mises à jour Windows disponibles. Pour cela, ouvez les Paramètres → Windows Update → Rechercher des mises à jour.
Vérifiez votre version de Windows :
- Pour Windows 11 : vous devez être sur la version 25H2 ou la version 24H2 (ou une version ultérieure).
- Pour Windows 10 : vous devez être inscrit au programme Extended Security Updates (ESU).
Pour certains ordinateurs, une mise à jour du firmware (BIOS/UEFI) du fabricant peut être nécessaire avant que les nouveaux certificats puissent s’installer. Les principaux fabricants d’ordinateur ont créé des pages dédiées avec des listes de modèles compatibles et les mises à jour firmware nécessaires :
- Dell : Microsoft 2011 Secure Boot Certificate Expiration (dell.com)
- HP : Secure Boot Certificate Updates (support.hp.com)
- Lenovo : Secure Boot Certificate Expiration (support.lenovo.com)
- Microsoft Surface : Surface Secure Boot Certificates (support.microsoft.com)
- Asus : Secure Boot FAQ (asus.com)
Pour savoir si vous êtes concerné, visitez la page de support de votre fabricant, recherchez le modèle de votre ordinateur et suivez les instructions d’installation fournies par le fabricant.

Si vous avez besoin d’aide, ce tutoriel vous explique simplement comment mettre à jour le micrologiciel UEFI de n’importe quel ordinateur :
Mettre à jour le firmware (BIOS ou UEFI) de sa carte mère

Si vous avez un PC très ancien (sous Windows 10 ou Windows 8 à l’origine) et que les certificats ne s’installent toujours pas, il peut être nécessaire de réinitialiser les clés Secure Boot dans les paramètres de l’UEFI (cherchez une option « Restore Factory Keys ») pour libérer de l’espace dans la base de signatures Secure Boot stockée en NVRAM et permettre l’installation des nouveaux certificats. Cette manipulation n’est recommandée qu’en dernier recours si toutes les autres méthodes ont échoué.

Attention : si vous utilisez BitLocker pour chiffrer votre disque, cette manipulation déclenchera une demande de clé de récupération BitLocker au prochain démarrage. Assurez-vous d’avoir votre clé de récupération BitLocker avant de procéder (généralement sauvegardée dans votre compte Microsoft ou imprimée).

Suivez l’état de la mise à jour

Dans les prochains mois, Microsoft ajoutera des messages dans l’application Sécurité Windows pour vous informer de l’état de vos certificats Secure Boot. Vous pourrez ainsi vérifier facilement si votre PC est à jour.

Ce qu’il faut retenir

Les certificats Secure Boot utilisés depuis 2011 expirent en juin et octobre 2026, ce qui nécessite leur remplacement.
Microsoft déploie progressivement de nouveaux certificats Secure Boot (Windows UEFI CA 2023) via Windows Update.
Pour la majorité des utilisateurs, aucune action ne sera nécessaire : la mise à jour se fera automatiquement. Les PC plus anciens peuvent nécessiter une mise à jour du firmware.
Sans ces nouveaux certificats, un PC continuera de fonctionner mais pourrait entrer dans un état de sécurité dégradé, avec moins de protections au démarrage.